Cybersécurité : Les failles exigent une planification rapide et le support actif des directions d'entreprise

Au cours des derniers mois, le monde traditionnellement opaque de la cybersécurité est brusquement devenu le centre d'attention. De la cyberattaque de Colonial Pipeline au piratage du géant de la viande JBS, 2021 semble être l'année où les cybercriminels ont finalement fait irruption sur la place publique, et ils ne sont pas prêts de ralentir.

Chaque jour, je discute avec des clients qui me disent qu’ils ont besoin d’aide pour simplifier la sécurité, tout en tirant le meilleur parti de leur ressource la plus précieuse : leur équipe.

Un problème particulièrement préoccupant de cette tendance en hausse est la nette augmentation des « attaques zero-day », c’est-à-dire l’exploitation malveillante d’une vulnérabilité informatique inconnue du fournisseur ou du développeur, ou qu’il doit encore corriger. Il y a quelques mois, le groupe d’analyse des menaces de Google a publié un article de blog* qui soulignait l’augmentation des attaques zero-day. Ses recherches ont révélé qu’à la mi-2021, « 33 vulnérabilités 0-day exploitées par des cyberattaques avaient été divulguées publiquement cette année », soit 11 de plus que leur nombre total en 2020.

Les attaques de phishing et de ransomware en nette hausse 

Chez Verizon, notre Rapport d’enquête 2021 sur les violations de données (Data Breach Investigations Report, DBIR) met également en évidence le nombre de défis de cybersécurité auxquels les entreprises sont actuellement confrontées. Ce rapport révèle en effet que les attaques de phishing et de ransomware « ont augmenté respectivement de 11 % et 6 %, avec une multiplication par 15 des cas d’usurpation d’identité par rapport à l’année dernière ». Si l’on observe les données, le paysage sécuritaire semble certainement plus sombre que d’habitude.

Mais si ces données dressent un constat alarmant, elles ne racontent toutefois qu’une partie de l’histoire. Les divulgations de violations de données sont aujourd’hui plus transparentes que jamais, et les médias sont de plus en plus attentifs à la régularité et à la valeur médiatique des cas les plus graves. Ainsi, bien que les statistiques soutiennent certainement l’idée que les violations augmentent, il est important de reconnaître que nous en entendons également parler beaucoup plus qu’avant.

Cela dit, la hausse des cyberattaques va particulièrement préoccuper les professionnels de la cybersécurité. Au cours de l’année écoulée, nous avons pu observer des efforts de plus en plus proactifs de la part des criminels pour non seulement exploiter les vulnérabilités et rançonner les entreprises, mais également diffuser leurs services de ransomware et tirer profit de leur expertise. La cybercriminalité s’est « démocratisée » et est de plus en plus accessible aux masses. On est donc en droit de s'inquiéter face à la menace que pose les acteurs malveillants de plus en plus capables de cibler les vulnérabilités que les développeurs ou les programmeurs n’ont pas encore corrigées.

Alors, quelles solutions ? 

Pour commencer, les entreprises feraient bien d’adopter une approche proactive pour identifier et corriger les vulnérabilités. Les équipes qui se contentent d’être réactives auront toujours une longueur de retard, et c’est sur cette déconnexion entre des problèmes en temps réel et des correctifs insuffisants et trop tardifs que s’appuient les cybercriminels. Toutes les grandes entreprises devraient pouvoir compter sur une équipe de professionnels de la cybersécurité qui se consacrent spécifiquement à l’identification, la résolution et la correction des problèmes. Adoptez une position ferme et prenez une longueur d’avance.
Deuxièmement, nous ne saurions insister davantage sur l’importance de la préparation. Nous savons tous qu’en cas d’attaque, votre capacité à réagir efficacement dépend principalement des processus et des systèmes déjà en place. En période de crise, l’effet combiné de la pression sur la réputation et (éventuellement) du risque financier trouble le jugement de chacun. Les entreprises peuvent se protéger davantage en se préparant bien avant que la crise ne survienne.

Et ce n’est pas non plus qu’une question de technologie. Vos équipes commerciales, les RP et votre équipe juridique doivent toutes être parfaitement alignées quant à leurs rôles et responsabilités respectifs en cas de faille de sécurité. Identifiez votre infrastructure critique, validez (et mettez à jour) votre plan d’intervention et exécutez-le en conséquence. La première question que je pose aux nouveaux clients est la suivante : « À quand remonte la dernière fois que vous avez réalisé un test de violation des données avec vos principales parties prenantes ? »

Mais trop souvent malheureusement, la réponse est « jamais ».

Enfin, assurez-vous d'avoir l'adhésion de la direction d'entreprise. De l’acquisition des talents aux dépenses informatiques en passant par la modernisation de l’IT, il est impératif que les dirigeants comprennent l’étendue de votre rôle pour pouvoir vous soutenir correctement. Notre capacité à agir est déterminée par la confiance qu’ils placent en nous. C’est donc notre travail de nous assurer qu’ils comprennent le contexte dans lequel nous travaillons, ce que nous pouvons et ne pouvons pas contrôler, et ce qui doit être fait aujourd’hui pour atténuer les risques de demain. Lorsque les dirigeants prennent des décisions budgétaires, vous devez vous assurer que la sécurité est leur priorité, pas une réflexion après coup.

Chris Novak est Directeur mondial du Verizon Threat Research Advisory Center.
 

* https://blog.google/threat-analysis-group/how-we-protect-users-0-day-attacks/